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(54) Title: PUBLIC KEY CRYPTOGRAPHIC METHOD BASED ON BRAID GROUPS 
1-^ (54) TUrc : PROCEDE CRYPTOGRAPHIQUE A CLE PUBLIQUE BASE SUR LES GROUPES DE TRESSES 

(57) Abstract: The invention concerns a public key cryptographic method based on braid groups. The invention is characterized in 
^ that the method uses: a secret key, defined by a representative s selected from a given braid S in a braid group G, a public key, defined 
QQ in particular by a representative v of the braid T(S). transformed from the braid S by an operator T. at least an operation verifying 
^ equality between two braids, that is equivalence of representatives of said two braids. The invention is applicable to quick execution 

public key cryptography. 



22 (57) Abr^i : Proc6d6 cryptographique h c\t publique bas6 sur les groupcs de tresses. Selon 1* invention, Icdit proc^d^ met en 
oeuvre; une eld secrete, ddfinie par un repwdsentant s choisi d'une Iresse donn6e S dans un groupe de tresses G; une z\€ publique, 
ddfinie notamment par un repr^sentant v de la tresse T(S), transformde de la tresse S par un opdrateur T; au moins une operation de 

^ verification de Tdgalit^ de deux tresses, c'est & dire de T^quivalence de repr6sentants de ces deux tresses. Application aux pT0c6d6s 

^ de ciyptographie k c\t publique d*ex&uiion rapide. 
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PROCEDE CRYPTOGRAPHIQUE A CLE PUBLIQUE BASE SUR LES 

GROUPES DE TRESSES 

La pr6sente invention conceme un proc6d6 cryptograpliique d cl6 
publlque basd sur les groupes de tresses. 

L'invention trouve une application particulierement avantageuse dans 
le domalne des proc6d6s de cryptograpliie S cl§ publlque d'execution rapide, 

5 notamment dans des environnements peu dotes de ressources, tels que les 
cartes a microprocesseur standards, avec ou sans contacts. 

Dans le domalne de la cryptographie a cle publlque, ctiaque utilisateur 
detient une paire de cl§s pour un usage donne, iadite paire 6tant constituee 
d'une cl6 secrete et d'une cl6 publique associee. Par exemple, s'il s'agit d'une 

10 paire de cl6s d6diee a la confidentiality, alors la cle publlque est utiiis6e pour 
chlffrer les donn6es, tandis que la cl§ secr§te est utilis§e pour les d^chiffrer, 
c'est a dire pour retabllr les donn6es en clair. Par centre, s'il s'agit d'une paire 
de cles dedi6e a rauthentificatlon, alors la cl6 secrete est utilis^e pour 
calculer des valeurs d'authentificatlon, tandis que la cle publique est utilisee 

15 pour verifier ces valeurs d'authentificatlon. D'autres usages, tels que 
signatures num6riques ou echanges de cl6s, sont egalement possibles. 

La cryptographie a cle publique est d'une tr6s grande utilite dans la 
mesure ou, contrairement a la cryptographie d cl6 secrete, elle n'exige pas 
que les interiocuteurs partagent le meme secret pour etablir une 

20 communication securis6e. Cependant, cet avantage en terme de s6curite 
s'accompagne d'un d6savantage en terme de perfonnance, car les precedes 
de cryptographie a cle publique (encore appeles « schemas a cl§ publique ») 
sont souvent cent ou mille fois plus lents que les precedes de cryptographie 
dits a cle secrete (encore appeles « schemas a cl6 secrete »). C'est done un 

25 d6fi tres important que de trouver des precedes de cryptographie d cl6 
publique d'execution rapide, de fagon a pouvoir les mettre en oeuvre dans les 
environnements dot^s de peu de ressources evoqu6s plus haut, comme les 
cartes k microprocesseur. 

La plupart des sch6mas S cle publlque existent actuellement reposent 

30 sur la difficulte de problemes math^matiques Issus du domaine de 
I'arithmetique, ou « theorie des nombres ». C'est ainsi que la s6curite du 
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schema de chiffrement et de signature 6lectronique connu sous le nom de 
RSA (du nom de ses auteurs : Rivest, Shamir et Adieman) repose sur la 
difficult^ du probl6me de la factorisation des entlers : 6tant donn6 un grand 
nombre entier (plus de 1 000 bits) egal au prodult de deux ou plusleurs 
facteurs premiers de tallies comparables, 11 n'existe pas de m6thode efficace 
pour retrouver ces facteurs premiers. 

D'autres sch§mas d cl6 publique, tels que le schema de signature 
6lectronique d§crit dans le brevet frangais n° 2 716 058, font reposer la 
securlte sur la difficult^ du probl6me du logarithme discret. Tous ces sch6mas 
ont en commun d'utiliser comme operations de base des operations sur des 
entiers, comme des multiplications modulaires : ab (modulo n), des divisions 
modulaires : a/b (modulo n), ou encore des exponentiations modulaires : a" 
(modulo n) oCi a et b sent des entiers. 

Le fait que la plupart des sch6mas d cl§ publique existants reposent sur 
rarithmStique pr^ente au moins deux inconvSnients. 

Le premier Inconvenient est que I'existence d'algorithmes efficaces 
pour r§soudre le probleme de la factorisation et ceiui du logarithme discret 
iorsque les entiers consid6res ont une longueur de quelques centaines de 
bits, implique de prendre des longueurs d'entiers (en particulier des longueurs 
de des) tres 6lev6es, c'est a dire 1 000 bits ou plus d I'heure actuelle. II 
s'ensuit des difficult6s de stockage et, surtout, des temps de calcul eux- 
m§mes trds 6lev6s. De plus, l'efficacit§ de ces algorlthmes s'accroissant 
assez rapidement avec le temps, les longueurs de cl§s doivent gtre 
augmentees en consequence. 

Le deuxieme inconvenient est qu'il est dangereux de faire reposer la 
securlte de la majorite des applications securisees sur ia difRculte de deux 
probiemes mathematiques seulement. Ceci est d'autant plus vrai que ces 
deux probiemes sont voisins I'un de i'autre et il est tout a fait plausible que la 
decouverte d'un algorithme efficace pour I'un s'accompagne d'un algorithme 
efficace de resolution pour I'autre. 

Cast pourquoi, depuis une quinzaine d'annees, beaucoup d'efforts ont 
ete faits pour construlre des schemas cryptographiques a cie publique qui 
reposent sur d'autres probiemes que les deux mentionn6s ci-dessus et/ou sur 
d'autres objets mathematiques que des entiers. En particulier, il a ete propose 
de remplacer les operations sur des entiers par des operations sur les points 
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de courbes dites « elliptiques ». La motivation en est que le probleme du 
logarithme discret semble encore plus difficile a r6soudre dans les courbes 
elliptiques, ce qui permet de reduire les longueurs de cl§s sans compromettre 
la s6curite des schemas consideres. 

Cependant. I'utilisation de courbes elliptiques ne r6sout que 
partiellement les deux probl6mes soulev6s cl-dessus. En effet. mime si les 
courbes elliptiques sont des objets math6matiques differents et plus 
complexes que les ensembles d'entiers, elles en restent relativement proches 
en ce sens que la throne qui les d6crit a des relations tr6s etroites avec la 
theorie des nombres. Un effet tangible de cette proximity est que les calculs d 
effectuer sur les courbes elliptiques se remanent a une succession 
d'operations sur des entiers semblables a celles d6finies plus haut, m§me si 
les entiers sont de taille inferieure. Une consequence est que les temps de 
calcul restent trop ^levte. 

II subsiste done la n6cessite d'utiliser d des fins cryptographiques des 
objets math6matiques tres diff6rents de ceux que fournissent la th6orie des 
nombres et celles qui lui sont procfies, de mani§re. d'une part, a disposer de 
solutions de remplacement en cas de decouverte d'algorittimes efficaces pour 
resoudre les problemes puises dans les theories ci-dessus et, d'autre part, d 
disposer de solutions extremement efficaces en tenne de performance et, 
notamment, en temie de temps de calcul. 

Des tentatives ont 6t§ faites dans ce sens. L'une d'elies (voir K.H.Ko, 
SJ.Lee, J.H.Cheon, J.W.Han. J.Kang et C.Parl<. New PublK-Key 
Cryptosystem Using Braid Groups, Advances in Cryptology, LNCS 1880, 
p.166-183. Springer Verlag, aoQt 2000) consiste d utiliser des objets 
mathematiques appeles « groupes de tresses ». 

Une tresse, au sens mathematique du terme, est une conceptualisation 
et une generalisation de la notion de tresse au sens g§ometrique et ordinaire 
du terme. Pour plus de details sur la theorie des tresses, on se reportera d 
I'article de P.Dehomoy, L'art de tresser, Pour la Science. Dossier hors-s6rle 
« La science des nceuds », p.68-75, 1997. 

L'ensemble des « tresses d n brins » constitue un groupe G, muni 
d'une loi de composition interne appel6e produit qui, S deux tresses X et Y, 
associe une tresse not§e XY, r6sultat de reparation consistant a « attaclier » 
la tresse Y sous la tresse X. En general, le produit de tresses n'est pas une 
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operation commutative. De plus, a toute tresse a n brins on peut associer de 

manifere unique une pemiutation de ('ensemble {1 ,2 n}. Une tresse dont la 

permutation est la permutation identite (qui envoie tout entier de 1 & n sur lui- 
meme) est dite pure. 

Le groupe G de tresses d n brins est dot6 d'un 6l6ment neutre E, 
represents par n brins non tress6s, tel que, pour toute tresse X, les produits 
EX et XE sent tous deux 6gaux d X. De plus, toute tresse X poss§de un 
inverse not§ X"^ tel que les produits XX"^ et X"^X sont tous deux egaux a E. 

Les tresses a n brins du groupe G peuvent etre cod6es de piusieurs 
mani§res, appelees representations. Pour coder une tresse dans une 
representation donnee, on lui associe un ou piusieurs « representants ». Si X 
est une tresse, on notera x un representant de X dans la representation sous- 
jacente. Dans les representations usuelles telles que celles utilisees par la 
presente invention, si une tresse X et une tresse Y ont respectivement comme 
representants x et y, alors 11 existe une operation simple sur x et y dont le 
resultat, note xy, est un representant de la tresse XY. de meme qu'il existe 
une operation simple sur x dont le resultat, note x"\ est un representant de la 
tresse X"\ 

La representation la plus repandue, dite « standard », repose sur le fait 
que toute tresse peut se decomposer comme un produit de n-1 tresses 
elementaires, que Ton note chacune par une lettre d'un alphabet, et de leurs 
inverses. On notera par des lettres minuscules des representants de ces 
tresses ei6mentaires. Par exemple, dans le cas des tresses d 4 brins, on note 
les 3 tresses eiementaires A, B, et C, de sorte qu'une tresse quelconque X du 
groupe peut s'exprimer en fonction des tresses A, B, C, et de leurs inverses 
A'\ B"\ C'\ et ceci de maniere non unique. Par exemple, les tresses ABA et 
BAB sont egales. On dira que aba et bab sont des representants de tresse 
equivalents, c'est-^-dire qu'ils representent la meme tresse. De meme, la 
tresse B est egale a la tresse BBB'\ de sorte que les representants b et bbb'^ 
sont equivalents. 

D'autres representations, que I'on dira « alternatives », du groupe G 
peuvent §tre employees. Ainsi, une tresse e n brins peut Stre codee comme 
un produit de tresses « simples » ou « canoniques », representees par des 

permutations de {1,2 n}, et de leurs inverses. Mentionnons encore une 

representation de G appeiee « representation de Birman-Ko-Lee », ou le 
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codage se fait encore a I'aide de permutations, ou a Taide de certains 
tableaux de n nombres tous compris entre 1 et n, et une autre, appelee 
representation de Dynnil^ov, ou le codage se fait a I'aide d'entiers. La encore, 
une tresse peut avoir plusieurs repr§sentants, et des representants d'une 
meme tresse sont dits equivalents. 

Dans la representation dite « standard », ou une tresse est cod§e par 
des mots, on introduit la notation « », signifiant « Equivalent S ». On notera 
« u~v », ou u est un representant de la tresse U, et v un repr6sentant de la 
tresse V, lorsque les tresses U et V sont §gales. Les relations d'equivalence 
suivantes permettent exactement de detemiiner si deux mots representent la 
meme tresse : 

- aa'^'-a"''a-e, 

- ac-ca si a et c sont des lettres non consecutives, 

- aba-bab si a et b sont des lettres consecutives. 

Le procSde de cryptographie d cIS publique utilisant les tresses 
prec6demment cite est exclusivement d6di§ a la confidentialite des donnees, 
qui sont chiffrees avant d'etre transmises, puis dechiffrees par le destinataire. 

Le probleme technique a resoudre par I'objet de la presente invention 
est de proposer un procede de cryptographie a cle publique base sur les 
groupes de tresses, qui, d'une part, permettrait non seulement d'assurer la 
confidentialite des .donn6es mais aussi rauthentification d'entit6s et/ou de 
donnees et, d'autre part, permettrait d'obtenir, a la fois, un niveau de securlte 
eieve et des temps de calcul rapides, compatibles avec une application du 
precede e des systemes d ressources limitees en puissance, comme les 
cartes d microprocesseurs. 

La solution au probieme technique pose consiste, selon la presente 
invention, en ce que ledit precede met en oeuvre : 

- une cie secrete, definie par un representant s d'une tresse donnee S 
dans un groupe de tresses G, 

- une cie publique. definie notamment par un representant v d'une 
tresse T(S), transformee de la tresse S par un operateur T, 

- au moins une operation de verification de regalite de deux tresses, 
c'est-a-dire de requivalence de representants de ces deux tresses. 
Ainsi, on comprend que la securite du precede cryptographique selon 

invention repose sur la difficulte de reconstituer la tresse secrete S d partir 
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du representant v de T(S) contenu dans la cle publique, cette reconstitution se 
heurtant cumulativement au probl6nne de l'egalit§ de tresses, done de 
l'6quivalence de repr6sentants, et § celui de I'inversion de I'operateur T. En 
ce sens, il est propose deux exemples pour I'operateur T pouvant convenir § 
la mise en oeuvre du proc^dS, objet de I'invention : 

- l'op6rateur T est d§finl par T(S)=SWS"\ oCi W est une tresse d'un 
groupe G dent un representant w forme, avec un representant v de 
V=T(S), ladlte cl§ publique, et. S'^ la tresse Inverse de S dans le 
groupe G, 

- I'operateur T est d6fmi par la donnee d'un entier positif p au moins 
§gal a 2, et par T{S)=S''=S,..S, produit de S p fols. 

Le premier op6rateur met en ]eu le probleme de la conjugaison, 
considere comme extremement difficile : il s'agit, connaissant un repr§sentant 
de la tresse SWS'\ de trouver un repr§sentant de la tresse S. En particulier. 
rutilisation de fonnes r§duites, qui sont des repr6sentants privilegies des 
tresses, rend ce probldme particuliSrement inextricable. II en est de m§me du 
probleme de la racine, mis en oeuvre dans le deuxieme op6rateur : trouver un 
representant de S connaissant un representant de est, en pratique, une 
operation irrealisabie. 

Par allleurs, I'operation de verification d'equivalence de representants 
de tresses est rendue d'autant plus raplde, qu'elle est realisee au moyen 
d'une forme r6duite des representants desdites tresses, ou de la forme reduite 
de representants de tresses calcuiees a partir desdites tresses. L'inter§t de 
ces formes reduites, fonctions qui transfonnent un representant d'une tresse 
en un autre representant (eventuellement identique) de cette meme tresse, 
est qu'elles fournissent en effet des methodes efficaces pour resoudre le 
probleme, non trivial a priori, de savoir si deux tresses sont egales, a partir de 
representants desdites tresses. 

Une forme reduite FR est caracterisee par le fait qu'elle transforme tout 
representant de la tresse neutre E en un representant trivial (c'est-e-dire vide) 
note e. Cependant, deux representants d'une m§me tresse n'ont pas 
forcement la m§me forme reduite. II en est ainsi de la forme reduite 
developpee par P.Dehornoy, A Fast Method for Comparing Braids, Advances 
in Mathematics, n'125, pp.200-235,1997. Pour savoir si deux representants u 
et V de tresses U et V sont equivalents, on calcule la forme reduite de uv'\ qui 
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est un representant de la tresse \JV\ En effet, il revient au meme de dire que 
u et V sont equivalents, ou que uv'^ represente la tresse triviale E. Ainsi, u et v 
sont equivalents, si et seulement si FR(uv"Ve- De fagon alternative, on peut 
utiliser u'\ au lieu de uv'\ 

5 Un cas particulier de fonmes reduites est constitue par les formes 

normales. Une fonrie normale FN est une forme r6duite qui, a deux 
representants quelconques d'une meme tresse, associe le m§me representant 
de cette tresse. En d'autres termes, deux representants u et v de tresses sont 
Equivalents, si et seulement si ils ont la meme forme nomiale FN(u)=FN(v). 

10 Plusieurs fagons de definir une telle forme normale FN sont decrites dans 
Tetat de la technique, en particulier dans D. Epstein et al.. Word Processing in 
Groups, Jones and Barlett Publishers, Boston, 1988. Certaines fomies 
npmnales peuvent etre calculees de mani§re efficace, en particulier dans le 
cas des representations « alternatives » du groupe de tresses decrites 

15 pr6c§demment : les representants des tresses se pr§tent alors 
particuli6rement au calcul de fomnes normales. 

Dependant, dans le cas de la representation « standard », Tutilisation 
d'une forme reduite permet d'obtenir des algorithmes plus efficaces, ceci etant 
du au fait que les exigences sur une fomne reduite sont moins fortes que sur 

20 une fomne normale, deux representants equivalents n'ayant pas 
necessairement meme forme reduite, alors quils ont necessairement la meme 
forme normale. C'est ainsi que Talgorithme calculant une forme r6duite cite ci- 
dessus, est plus rapide que tout algorithme connu calculant une forme 
normale dans le cas de la representation « standard ». On comprend alors 

25 que, sulvant le choix de la representation, il y aura avantage a mettre en 
ceuvre le procede cryptographique de ['invention tantot avec une forme 
reduite non necessairement nomnale notee FR (typiquement, en 
representation « standard »), tantot avec une forme reduite nomiale notee FN 
(en particulier dans les representations « alternatives »). 

30 On notera que le fait qu'une fomne reduite ne soit eventuellement pas 

unique pour une tresse donnee ne constitue pas un inconvenient lorsqu'une 
decision a prendre depend seulement du fait que deux mots soient 
equivalents ou non ; par exemple « L'entite avec laquelle on communique est- 
elle authentique ou non ? ». 
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Quatre exemples d'application du precede cryptographique conforme a 
rinvention vont maintenant etre decrits en detail qui. de maniere non 
limitative, sont tous des protocoles d'authentification. 

De meme, et bien que cela ne soit pas indispensable, comme on I'a vu 
plus haut, on utillsera syst6matiquement des fomies r6duites FR, qui ne sont 
pas necessairement des formes normales, sachant qu'elles constituent le 
mode de realisation prefers de rinvention. 

Le premier protocole d'authentification fait intervenir un groupe G1 de 
tresses a n=p+q brins et le probl§me de la conjugaison. Plus precisement, 
deux tresses d'un type particulier sont impHqu6es : Tune n'utilise que les p 
brins de gauche, et peut etre codee, dans la representation « standard », d 
raide des p-1 premieres lettres et de leurs inverses dans un alphabet a n=p+q 
lettres, I'autre n'utilise que les q brins de droite, et par consequent peut §tre 
cod6e, dans la representation « standard », a I'aide des q-1 demiferes lettres 
de cet alphabet et de leurs inverses. Deux telles tresses presentent la 
caracteristique de commuter Tune avec I'autre, contrairement au cas general. 

La cle secrete du prouveur A est un representant s d*une tresse Sap 
brins de gauche. La cle publique du prouveur A, utilisee par le verificateur B. 
est une paire (v,w), constituee par un representant w d'une tresse W choisie 
dans le groupe G1 , et par un representant v de la tresse V=T(S)=SWS"\ 

Uauthentification du prouveur A par le verificateur B se dSroule de la 
maniere suivante, en deux ^changes : 

1 . B choisit une tresse Z a q brins de droite, par choix d'un representant z. 
B detient alors un representant, note zwz'\ de la tresse C=ZWZ"\ B 
calcule un representant c=F1(z\wz"'') de C, et envoie c a A. 

2. A calcule un representant y=F2(scs"'') de la tresse SCS"\ et envoie y a 
B. B verifie Tequivalence y~zvz"\ par utilisation d'une forme reduite FR 
(eventuellement normale). 

Le fait que y est equivalent § zvz'** provient de ce que S et Z commutent 
Tune avec I'autre ; en effet, y represente la tresse SCS'^ c'est-a-dire : 

s(zwr')S"'=(sz)W(r's-')=(zs)W(s-'r>z(sws"')r'=zvr\ qui est 

aussi representee par zvz~\ 
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La verification de Tequivalence formulee dans I'etape 2 peut se faire, 
de mani§re non exclusive, par la verification de Tegalite FR(yzv VV©. ou, si 
Ton utilise une forme normale, FN(y)=FN(zvz'''). 

Les fonctions F1 et F2 sent des fonctions qui, k un representant d'une 
5 tresse, assoclent un representant de cette m§me tresse. Dans le cas de la 
representation « standard ». F1 et F2 pourront etre. mais pas n6cessairement, 
des formes r6duites. Elles seront. typiquement, des formes reduites, 
generalement autres que celle utilisee pour la verification d'equivalence. Dans 
le cas de representations alternatives, on prendre pour F1 et F2 la forme 
10 normale FN. 

Par ailleurs, on choisira pr6f6rentiellement pour W une tresse pure. 

Des variantes de ce protocole peuvent etre facilement specifi6es. En 
particulier, on peut choisir pour v un representant de la tresse T(S)=S"VS et 
modifier le reste du protocole en consequence. Ou encore, on peut choisir 
15 pour S une tresse sur les q brins de droite, et pour Z une tresse sur les p brins 
de gauche. 

Le deuxieme protocole d'authentification fait intervenir un groupe G2 de 
tresses a n brins et le probleme de la conjugaison. II consiste a iterer k fois un 
20 protocole de base a 3 ^changes, ce dernier n'offrant ^ lui seul qu'une chance 
sur deux de detecter un 6ventuel imposteur, a savoir une entit6 C, ignorant le 
secret de A. mais essayant de se faire passer pour A. A I'issue des k 
iterations, un imposteur n'a plus qu'une chance sur 2^ de ne pas §tre detecte. 
Ce protocole relive de la categorie des protocoles d connaissance nulle 
25 (« zero-knowledge »). 

La cie secrete du prouveur A est un representant s d'une tresse S du 
groupe G2. La cle publique du prouveur A, utilisee par le v§rificateur B, est 
une paire (v.w), constitute par un representant w d'une tresse W choisie dans 
le groupe G2, et par un representant v de la tresse V=T(S)=SWS'\ 
30 L'authentification du prouveur A par le v6rificateur B se deroule de la 

maniere suivante, en trois echanges it6res k fois : 

1. A choisit une tresse R, par choix d'un representant r. A detient done un 
representant VNf^ de la tresse X=RWR"\ A calcule un representant 
x=F1 {mf^) de X, et envoie x ^ B, 
35 2. B tire au hasard un bit c et envoie c a A, 
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3a. Si c=0, A pose y=r et envoie y ^ B. B verifie Tequivalence x-yw/\ par 

utilisation d'une forme reduite FR (6ventuellement nomnale). 
3b.Si c=1 . A calcule un representant y=F2(rs''') de la tresse RS'\ et envoie 
y a B. B v6rifie alors r6qulvalence x-yvy*\ par utilisation d'une forme 
5 reduite FR (eventuellement normale). 

En effet, lorsque c=1, x et yvy'^ sont equivalents puisque yvy'^ 
represente la tresse (RS'')SWS-\SR-')=R(S-'S)W(S"'S)R"'=RWR-\ dont x est 
un representant. 

La verification de Tequivalence formulee dans Tetape 3a peut se faire, 
10 de manidre non exclusive, par la verification de Tegalite FR(xyw*'V"^)=e. ou, si 

Ton utilise une forme normale, FN(x)=FN(ywy"^). 

La verification de Inequivalence formulae dans I'Stape 3b peut se faire, 

de manlere non exclusive, par la verification de r6galit6 FR(xyv"V"^)=e. ou, si 

I'on utilise une forme normale, FN(x)=FN(yvy'^). 
15 Les fonctions F1 et F2 sont des fonctions qui, a un representant d'une 

tresse, associent un representant de cette m§me tresse. Dans le cas de la 

representation « standard », F1 et F2 pourront etre, mais pas necessairement, 

des formes reduites. Elles seront, typiquement, des formes reduites, 

gen6ralement autres que celle utilis§e pour la verification d'6qulvalence. Dans 
20 le cas de representations alternatives, on prendra de preference pour F1 et 

F2 la fonne normale FN. 

Des variantes de ce protocole peuvent @tre facilement specifiees. En 

particulier, on peut choisir pour v un representant de la tresse T'{S)=S"^WS et 

modifier le reste du protocole en consequence. 

25 

Le troisieme protocole d'authentification fait intervenir un groupe G3 de 
tresses a n brins et le probldme de la conjugaison. Comme le precedent, ce 
protocole releve de la categorie des protocoles ^ connaissance nulle, trois 
echanges etant iteres k fois. 

30 La cie secrete du prouveur A est un representant s d'une tresse S du 

groupe G3. La cie publique du prouveur A, utilisee par le verificateur B, est 
une paire (v,w), constitu6e par un representant w d'une tresse W choisie dans 
le groupe G3, et par un representant v de la tresse V=T(S)=SWS"\ 

L'authentification du prouveur A par le verificateur B se deroule de la 

35 maniere suivante, en trois echanges iteres k fois : 
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1 . A choisit une tresse R, par choix d'un representant r. A detient done un 
representant rwr"^ de la tresse X=RWR'\ ainsi qu*un representant rvr*^ 
de la tresse X-RVR"\ A calcule un representant x=F1(n/vr"'') de X, un 
representant x'=P1 (rvr"^) de X', et envoie x et x* S B, 
5 2. B tire au hasard un bit c et envoie c a A, 

3a.Si 0=0, A pose y=r et envoie y a B. B v6rifie les Equivalences x-^ywy'^ et 
x'~yvy'\ par utilisation d'une fonne r6duite FR (eventuellement 
normal e). 

3b. Si c=1, A calcule un representant y=F2(rsr^) de la tresse RSR'\ et 
10 envoie y a B. B vErifie alors Tequivalence x''-yxy'\ par utilisation d'une 

fomne reduite FR (eventuellement normale). 

En effet, lorsque c=1, x' et yxy''' sont equivalents puisque yxy''' 
reprSsente la tresse : 

(RSR"')RWR-^(RS"^R">RS(R'^R)W(R"'R)S"^R"^=R(SWS"^)R'^=RVR"\ dont x* 
15 est un representant. 

La verification de T^qui valence fomnulee dans Tetape 3a peut se faire, 
de maniere non exclusive, par la verification des egalit§s FR(xyw"V"^)=e et 
FR(x'yv'V"^)=e, ou, si Ton utilise une forme normale, FN(x)=FN(ywy"^) et 
FN(x)=FN(yvy-^). 

20 La verification de Tequivalence formulae dans Tetape 3b peut se faire, 

de maniere non exclusive, par la verification de r6galit6 FR(x'yx"V*^)=e. ou. si 
Ton utilise une forme nomnale, FN(x')=FN(yxy"^). 

Les fonctions F1, F1 et F2 sont des fonctions qui, d un representant 
d'une tresse, associent un representant de cette m§me tresse. Dans le cas de 

25 la representation « standard », F1, F1 et F2 pourront etre, mais pas 
n6cessairement, des formes reduites, Elles seront, typiquement, des formes 
reduites, g6neralement autres que celle utilisee pour la verification 
d'equivalence. Dans le cas de representations alternatives, on prendra de 
preference pour F1 et F1 , et F2 la forme normale FN. 

30 On remarquera que la propriete utilisee dans la verification est le fait 

que la conjugaison est auto-distributive. On rappelle qu'une operation * est 
dite auto-distributive si I'on a: u*(v*w)=(u*v)*(u*w). Ainsi. I'operation de 
conjugaison pourrait-elle etre remplacee dans ce protocole par une autre 
operation auto-distributive. 



35 
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Le quatrifeme protocole d'authentification fait intervenir un groupe G4 
de tresses a n brins et, simultanement, le probleme de la racine p-ieme et le 
probleme de la conjugaison. Ce protocole relive de la categorie des 
protocoles a connaissance nulle au sens des deux precedents, 
s La cle secrete du prouveur A est un representant s d'une tresse S du 

groupe G4. La cle publique du prouveur A, utilis^e par le vSrificateur B, est un 
representant v de la tresse V= S*" =S...S, prodult de S itSre p fois, avec p un 
petit entier superieur ou 6gal d 2. 

Uauthentification du prouveur A par le verificateur B se deroule de la 
10 manlere suivante, en trois echanges iter6s k fois : 

1 . A choisit une tresse R, par choix d'un representant r. A detient done un 
representant rvr"'' de la tresse X=RVR*\ A calcule un representant 
x=F1 (rvr'^) de X, et envoie x a B, 

2. B tire au hasard un bit c et envoie c d A, 

15 3a.Si c=0, A pose y=r et envoie y S B. B v6rifie I'equivalence X'^yvy"\ par 

utilisation d'une forme reduite FR (eventuellement normale). 
3b.Si c=1, A calcule un representant y=F2{rsr'^) de la tresse RSR\ et 
envoie y a B. B v6rifie alors I'equivalence x-/, par utilisation d'une 
fomne reduite FR (eventuellement normale). 
20 En effet, lorsque c=1, x et / sont Equivalents puisque y*" represente la 

tresse (RSR''*)^=RS'*R*^=RVR \ dont x est un representant. 

La verification de I'equivalence fomiuiee dans I'Stape 3a peut se faire, 
de manlere non exclusive, par la verification de r§gallt6 FR(xyvV^)=^i ou, si 
Ton utilise une forme normale, FN(x)=FN(yvy"^). 
25 La verification de requivalence formulee dans I'etape 3b peut se faire, 

de manlere non exclusive, par la verification de regalite FR(vy"\..y^)=e (y'' 
etant itere p fois), ou, si I'on utilise une forme normale, FN(v)=FN(y...y) (y 
etant itere p fois). 

Les fonctions F1 et F2 sont des fonctions qui, a un representant d'une 
30 tresse, associent un representant de cette m§me tresse. Dans le cas de la 
representation « standard », F1 et F2 pourront Stre, mais pas n6cessairement, 
des formes reduites. Elles seront, typiquement, des formes reduites, 
g6neralement autres que celles utilisees pour la verification d'equivalence. 
Dans le cas de representations alternatives, on prendre de preference pour 
35 F1 et F2 la forme normale FN. 
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REVENDICATIONS 



1. Procede cryptographique d cle publique base sur les groupes de 
5 tresses, caract^risS en ce que ledit procede met en oeuvre : 

- une cle secrdte, definie par un repr6sentant s d'une tresse donn§e 
S dans un groupe de tresses G, 

- une cle publique, definie notamment par un representant v de la 
tresse T(S), transfomri§e de la tresse S par un operateur T, 

10 - au molns une operation de verification de I'egalite de deux tresses, 

c'est a dire de r^quivalence de representants de ces deux tresses. 

2. Procede cryptographique selon la revendication 1, caracteris6 en ce 
que le representant v est la forme r§dulte FR d'un representant de la 
tresse T(S). 

15 3. Procede cryptographique selon Tune des revendlcations 1 ou 2, 
caracterise en ce que ladlte operation de verification de Tequivalence 
de representants de deux tresses est realisee au moyen de la forme 
reduite FR de repr§sentants de ces deux tresses, ou de la forme 
reduite de representants de tresses calculees a partir desdites tresses, 

20 4. Procede cryptographique selon Tune des revendlcations 2 ou 3, 
caract6ris6 en ce que ladite forme reduite FR est une forme nonnale 
FN. 

5. Precede cryptographique selon Tune des revendlcations 2 ou 3, 
caracterise en ce que ladite forme reduite FR est une fonne reduite non 

25 normale. 

6. Precede cryptographique selon Tune quelconque des revendlcations 1 
S 5, caracterise en ce que I'operateur T est defini par T(S)=SWS"\ ou 
W est une tresse d'un groupe G, et dont un representant w fomne, avec 
le representant v de la tresse V, ladite cie publique, et S"^ la tresse 

30 Inverse de la tresse S dans le groupe G. 

7. Precede cryptographique selon Tune quelconque des revendlcations 1 
a 5, caracterise en ce que I'operateur T est defini par la donnee d'un 
entier positif p au moins egal e 2, et par T(S)='S^=S...S, produit de S p 
fois. 
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8. Proc6de cryptographique selon la revendication 6. caract6ris6 en ce 
que, pour effectuer une authentification d'un prouveur A par un 
v^rificateur B : 

- on attribue au prouveur A une cl6 secrete constitute par un 
5 representant s d'une tresse Sap brins de gauche choisie dans un 

groupe 61 de tresses d n=p+q brins, 

- on attribue au prouveur A une cle publique, utilisee par le 
verificateur B, constitute d'un representant w d'une tresse W 
choisie dans le groupe G1 et d'un representant v de la tresse 

10 V=T(S)=SWS-\ 

- le verificateur B choisit dans le groupe G1 une tresse Z a q brins de 
droite, par choix d'un representant z, caicule un representant c de la 
tresse C=ZW2r\ et envoie c au prouveur A, 

- le prouveur A caicule un representant y de la tresse Y=SCS"^ et 
15 envoie y au vtrificateur B, 

- le verificateur B verifie l'§quivalence des representants y et zvz'\ 

9. Proctde cryptographique selon la revendication 6, caracterise en ce 
que, pour effectuer une authentification d'un prouveur A par un 
verificateur B : 

20 - on attribue au prouveur A une cle secrete constitute par un 

reprtsentant s d'une tresse S choisie dans un groupe G2 de tresses 
d n brins, 

- on attribue au prouveur A une cit publique, utiliste par le 
verificateur B, constitute d'un reprtsentant w d'une tresse W 

25 choisie dans le groupe G2 et d'un reprtsentant v de la tresse 

SWS"\ 

- le prouveur A choisit une tresse R dans le groupe G2, par choix 
d'un reprtsentant r, caicule un reprtsentant x de la tresse X=RWR' 
\ et envoie x au vtrificateur B, 

30 - le verificateur B choisit un bit c et envoie c au prouveur A, 

• si c=0, le prouveur A pose y=r et envoie y au verificateur B 
qui vtrifie I'tquivalence des reprtsentants x et ywy'\ 

• si c=1, le prouveur A caicule un reprtsentant y de la tresse 
RS"'' et envoie y au vtrificateur B, qui vtrifie I'tquivalence 

35 des reprtsentants x et yvy"\ 
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les trois demiers echanges 6tant iteres k fois. 

10. Proced6 cryptographique selon la revendication 6, caracterise en ce 
que, pour effectuer une authentification d'un prouveur A par un 
v6rificateur B : 

5 - on attribue au prouveur A une cl6 secrete constitute par un 

reprtsentant s d'une tresse S choisie dans un groupe G3 de tresses 
a n brins, 

- on attribue au prouveur A une cle publique, utilisee par le 
verificateur B, constituee d'un representant w d'une tresse W 

10 choisie dans ie groupe G3 et d'un representant v de la tresse 

SWS'\ 

- le prouveur A choisit une tresse R dans le groupe G3, par choix 
d'un representant r. calcule un representant x de la tresse X=RWR' 
\ un representant x' de la tresse X'=RVR'\ et envoie x et x' au 

15 v6riflcateur B, 

- le verificateur B choisit un bit c et envoie c au prouveur A, 

• si c=0, le prouveur A pose y=r et envoie y au verificateur B 
qui verifie Tequivalence des representants x et ywy''' et 
celle des repr6sentants x' et yvy"\ 
20 • si c=1 , le prouveur A calcule un representant y de la tresse 

RSR'^ et envoie y au verificateur B, qui v6rifie requivalence 
des representants x* et yxy"\ 
les trois demiers echanges etant iteres k fois. 

11. Precede cryptographique selon la revendication 7, caracterise en ce 
25 que, pour effectuer une authentification d'un prouveur A par un 

verificateur B : 

- on attribue au prouveur A une cie secrete constituee par un 
representant s d'une tresse S choisie dans un groupe G4 de tresses 
S n brins, 

30 - on attribue au prouveur A une cie publique, utilisee par le 

verificateur B, constituee par un representant v de la tresse 
V=S'*=S...S, produit de S p fois, p etant un entier superieur ou egal 
a 2, 



wo 03/036863 



16 



PCT/FR02/03665 



- le prouveur A choisit une tresse R dans le groupe G3, par choix 
d'un representant r, calcule un representant x de la tresse X=RVR*\ 
et envoie x au verificateur B. 

- le verificateur B choisit un bit c et envoie c au prouveur A, 

• si c=0, le prouveur A pose y=r et envoie y au verificateur B 
qui verifie I'equivalence des representants x et yvy'\ 

• si c=1 , le prouveur A calcule un representant y de la tresse 
RSR"^ et envoie y au verificateur B, qui verifie Tequivalence 
des representants x et y'^=y...y, representant de la tresse 
obtenu S partir de y, 

les trois demiers echanges etant iteres k fois. 

12. Precede cryptographique selon la revendication 6, caracterise en ce 
que Toperateur T est remplace par une operation auto-distributive. 

13. Precede cryptographique selon la revendication 8, caracterise en ce 
que ladite tresse W est pure. 
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